Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / IBM DB2, WebSphere, IMS, U2, etc Новый топик    Ответить
 Пользователи домена и привелегии группы  [new]
LeonidMV
Member

Откуда:
Сообщений: 17
Добрый день!

Имеем:
* контроллер домена на ОС Win2003 Server SP2 с пользователями (DB2 на этом серваке отсутствует)

* тестовый сервак с OC Win XP Prof SP2 c DB2 8.2 (8.1.16).
- На этом серваке создаем, скажем группу MYGROUP, куда заносим пользователя с домена
- Разумееется в БД DB2 также имеется группа MYGROUP с розданными полномочиями на таблицы
- Коннект доменного пользователя к БД проходит, но скажем при попытке SELECT, INSERT... идет отлуп, что пользователь такой-то не обладает привилегией для выполнения операции "INSERT"...
Хотя все привелегии на группу, в которую входит пользователь розданы.

Что заметил:
а) Скажем, пользователя на тестовом сервере вносим в группу DB2ADMNS - и все работает. Ну это и понятно
б) Скажем, на тестовом сервере создаем такого же, но локального пользователя. Вносим его в группу MYGROUP и все работает как надо.

Примечание: разумеется DB2_GRP_LOOKUP=DOMAIN

Куда копать?
9 дек 09, 15:08    [8041130]     Ответить | Цитировать Сообщить модератору
 Re: Пользователи домена и привелегии группы  [new]
Mark Barinstein
Member

Откуда: Москва
Сообщений: 4949
Добрый день.

Попробуйте:

db2set db2_grp_lookup=local
db2stop
db2start
9 дек 09, 16:37    [8041971]     Ответить | Цитировать Сообщить модератору
 Re: Пользователи домена и привелегии группы  [new]
LeonidMV
Member

Откуда:
Сообщений: 17
Mark Barinstein
Добрый день.

Попробуйте:

db2set db2_grp_lookup=local
db2stop
db2start


А зачем local? Мне нужны пользователи домена. Как раз когда возникла вышеописанная проблема у меня и был local.
9 дек 09, 17:29    [8042496]     Ответить | Цитировать Сообщить модератору
 Re: Пользователи домена и привелегии группы  [new]
Mark Barinstein
Member

Откуда: Москва
Сообщений: 4949
LeonidMV
Mark Barinstein
Добрый день.

Попробуйте:

db2set db2_grp_lookup=local
db2stop
db2start


А зачем local? Мне нужны пользователи домена. Как раз когда возникла вышеописанная проблема у меня и был local.

DB2 for Windows NT authentication with groups and domain security Procedure:
---
DB2 for Windows NT enumerates the local and global groups that the user is a member of, using the security database where the user was found. DB2 UDB provides an override that forces group enumeration to occur on the local Windows NT server where DB2 UDB is installed, regardless of where the user account was found. This override can be achieved using the following commands:

* For global settings:

db2set -g DB2_GRP_LOOKUP=local
...
---
т.е. если вы не поставите local, то она посчитает, что пользователь входит только в глобальные группы, т.к. это доменный пользователь.
9 дек 09, 18:33    [8043009]     Ответить | Цитировать Сообщить модератору
 Re: Пользователи домена и привелегии группы  [new]
LeonidMV
Member

Откуда:
Сообщений: 17
Mark Barinstein
* For global settings:

db2set -g DB2_GRP_LOOKUP=local
...
---
т.е. если вы не поставите local, то она посчитает, что пользователь входит только в глобальные группы, т.к. это доменный пользователь.


Ну вот в доке читаю: "... Если задать значение LOCAL, DB2 всегда будет просматривать группы и регистрировать учетные записи пользователей на сервере DB2. Если задать значение DOMAIN, DB2 всегда будет просматривать группы и регистрировать учетные записи пользователей на сервере Windows NT, к которому принадлежит данная учетная запись пользователя".
Ну да ладно, вернул все назад - ситуация не изменилась ни на шаг (см. аттач). Причем, вообще без разницы, что там стоит LOCAL или DOMAIN. Лезет таже ошибка про отсутствии привелегии. Хотя подчеркиваю - нужные привелегии на таблицу имееются.

К сообщению приложен файл. Размер - 0Kb
10 дек 09, 10:20    [8044737]     Ответить | Цитировать Сообщить модератору
 Re: Пользователи домена и привелегии группы  [new]
Mark Barinstein
Member

Откуда: Москва
Сообщений: 4949
LeonidMV,

Если не рассматривать trusted domains, то:

1. Порядок пользовательской аутеникации.
db2 вне зависимости от того, что стоит в db2_grp_lookup, ищет пользователей строго в следующем порядке:
- на локальной машине
- на контроллере текущего домена

Если имена пользователей совпадают и надо зайти в базу именно доменным, а не локальным, то имя пользователя надо указывать domain_name\user_name.

2. Поиск групп, в которые входит пользователь.
db2_grp_lookup:
- не установлена (или DOMAIN в вашем случае):
в какой security database пользователя нашли, в той и производится поиск групп, в которую он входит;
- LOCAL:
поиск групп происходит на локальной машине вне зависимости от того, где найден пользователь

Замечания:
- установка DOMAIN не говорит о том, что группы, в которые входит пользователь, надо искать только на контроллере домена
- даже если вы поставите DOMAIN, а пользователь нашёлся локально, то он будет входить только в локальные группы


По вашему случаю:
единственное разумное объяснение того, что происходит, это то, что у вас есть локальный пользователь с таким же именем, как и глобальный, но т.к. он не входит в локальную MYGROUP, то и прав у него нет.
10 дек 09, 12:12    [8045726]     Ответить | Цитировать Сообщить модератору
 Re: Пользователи домена и привелегии группы  [new]
Mark Barinstein
Member

Откуда: Москва
Сообщений: 4949
И ещё в догонку:

если сервис для db2-шного инстанса запущен из-под локального пользователя (точно) или local system (не уверен), то могут возникнуть проблемы с нумерацией групп для доменного пользователя.
Поэтому можете попробовать создать доменного пользователя, дать ему права на сервере, как описано в Required user accounts for installation of DB2 servers (Windows) и запустить сервис из-под него.
10 дек 09, 13:11    [8046304]     Ответить | Цитировать Сообщить модератору
 Re: Пользователи домена и привелегии группы  [new]
LeonidMV
Member

Откуда:
Сообщений: 17
Mark, большое спасибо за советы. Правда все это я знаю и все перепроверил не один раз, да и доку не раз курил... Посему как бы и задал вопрос, что какие-то не понятки идут. Ладно, будем думать дальше...
Еще раз - спасибо.
10 дек 09, 14:56    [8047176]     Ответить | Цитировать Сообщить модератору
Все форумы / IBM DB2, WebSphere, IMS, U2, etc Ответить